前端跨站 HTTP 请求

本文总结于此文章。主要总结下跨站XMLHttpRequest使用（基于fetch,不考虑兼容性i,fetch在IE下是不兼容跨域的,IE跨域不是基于XMLHttpRequest的），还有服务端。

定义

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求

分类

总结为两种

• 静态资源
  包括CSS、图片、JavaScript 脚本以及其它类资源

• 跨源资源共享
  后面主要讲下。

跨源资源共享

正如大家所知，出于安全考虑，浏览器会限制脚本中发起的跨站请求。为了能开发出更强大、更丰富、更安全的Web应用程序，开发人员渴望着在不丢失安全的前提下，Web 应用技术能越来越强大、越来越丰富。

所以就有了Web 应用工作组( Web Applications Working Group )推荐了一种新的机制，即跨源资源共享（Cross-Origin Resource Sharing (CORS)）。

跨域并非浏览器限制了发起跨站请求，而是跨站请求可以正常发起，但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理，请求是发送到了后端服务器无论是否跨域！注意：有些浏览器不允许从HTTPS的域跨域访问HTTP，比如Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求，这是一个特例。

接下来就讲诉前端跨源共享是怎么实现的。跨站XMLHttpRequest本人总结为以下两种情况

不传cookie

其实就是简单请求，

• 只使用 GET,HEAD 或者 POST 请求方法。如果使用 POST 向服务器端传送数据，则数据类型(Content-Type)只能是 application/x-www-form-urlencoded,multipart/form-data 或 text/plain中的一种。

• 不会使用自定义请求头（类似于 X-Modified 这种）。

服务器端

不传cookie服务端的请求头需要设置如下信息

• Access-Control-Allow-Origin
  必须设置项，语法如下

 | *

origin参数指定一个允许向该服务器提交请求的URI.对于一个不带有credentials（即cookie）的请求,可以指定为'*',表示允许来自所有域的请求.如果想要更安全点，当然也可以指定URI，不过没多大必要。

• Access-Control-Allow-Methods
  语法如下

[,]*

指明资源可以被请求的方式有哪些(一个或者多个). 这个响应头信息在客户端发出预检请求的时候会被返。
这就看需要了。设置为*时，没有囊括全部方式，例如patch,所有还是设置为全部方式更保险。

• Access-Control-Allow-Credentials
  默认为false，在此种跨域情况下不做设置，也不可以设置为true,语法如下

//秒级